VeraCrypt sérülékenységek

CH azonosító

CH-13633

Angol cím

VeraCrypt vulnerabilities

Felfedezés dátuma

2016.10.16.

Súlyosság

Magas

Érintett rendszerek

VeraCrypt

Érintett verziók

1.19 előtti.

Összefoglaló

A VeraCrypt magas, közepes, és alacsony kockázati besorolású sérülékenységei váltak ismertté, melyeket kihasználva a támadó kompromittálhatja a felhasználó rendszerét. A sérülékenységeket kiküszöbölő megoldás nagy része már beszerezhető a gyártótól, bizonyos hibákhoz pedig elkerülő megoldásokat publikáltak.

Leírás

A VeraCrypt szofvertben, és annak bootloaderjében számos sebezhetőséget találtak, a legsúlyosabb feltárt biztonsági rések közé az alábbiak tartoznak:

A GOST 28147-89-es titkosítás használata esetén a támadó – az elavult és nem biztonságos eljárás miatt – bizalmas információkhoz juthat.

Az XZip and XUnzip implementációja számos sebezhetőséget tartalmaz, így pl. a mentő lemezek olvasásakor a támadó memóriakorrupciót okozhat. Továbbá az inflate és deflate sérülékeny verziója és vele érkezik.

Az operációs rendszer partíció titkosításának feloldásához szükséges jelszó hosszúsága kiszámítható. A kihasználáshoz olvasási jogosultság szükséges a BIOS memóriához.

A szofver az autentikációt követően nem törli a billenytűleütéseket, illetve nem kezeli megfelelően az újonnan adott jelszavakat, a biztonsági rést kihasználva a támadó bizalmas információkhoz juthat.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen az 1.19-es verzióra.


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »